[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Grupo hacker FIN7 retorna com ataques do ransomware Clop

O grupo cibercriminoso com motivação financeira conhecido como FIN7 ressurgiu no mês passado, com analistas de ameaças da Microsoft vinculando-o a ataques cujo objetivo final é implantar cargas úteis do ransomware Clop nas redes das vítimas. “O grupo criminoso cibernético Sangria Tempest [Elbrus, FIN7] saiu de um longo período de inatividade”, disse a empresa em uma série de tuítes da conta no Twitter da Microsoft Security Intelligence.

Segundo a fabricante de software, o grupo foi observado implantando o ransomware Clop em ataques oportunistas em abril, sua primeira campanha de ransomware desde o final de 2021”. Conforme os analistas de ameaças da Microsoft, nos ataques recentes, os hackers do FIN7 utilizaram o conta-gotas de malware na memória PowerTrash, baseado em PowerShell, para implantar a ferramenta de pós-exploração Lizar em dispositivos comprometidos.

Isso permitiu que os operadores da ameaça ganhassem uma posição dentro da rede visada e se movessem lateralmente para implantar o ransomware Clop usando OpenSSH e Impacket. Este kit de ferramentas Python legítimo também pode ser usado para execução de serviço remoto e ataques de retransmissão.

De acordo com a Microsoft, o ransomware Clop é apenas a mais nova cepa que a gangue usou para atingir as vítimas. O grupo já havia sido vinculado ao ransomware REvil e Maze antes de seu envolvimento nas agora extintas operações de ransomware como serviço (Raas) BlackMatter e DarkSide.

Veja isso
Grupo de ransomware FIN7 ataca servidores de backup da Veeam
Hitachi Energy é novo alvo do Clop, que usa bug no GoAnywhere

Os analistas de ameaças da Microsoft descobriram o FIN11, que a empresa rastreia há algum tempo, quando o Lace Tempest (um grupo de ransomware afiliado Clop que foi observado usando exploits GoAnywhere e hand-offs de infecção Raspberry Robin em campanhas anteriores de ransomware) foi visto empregando novas ferramentas, incluindo o script inv.ps1 PowerShell.

O script foi usado para implantar o kit de pós-exploração Lizar do FIN7, provavelmente porque os operadores dos dois grupos de ameaças começaram recentemente a se unir ou compartilhar suas ferramentas em ataques.

Desde que começou a operar há uma década, em 2013, o grupo de hackers FIN7 com motivação financeira está vinculado a ataques direcionados principalmente a bancos e terminais de ponto de venda (PoS) de empresas de vários setores da indústria (predominantemente restaurantes, jogos de azar e hospitalidade) na Europa e nos Estados Unidos.